Advertisement
6일 보안업계와 금융계에 따르면 보안솔루션 기업 에버스핀이 KB국민은행, 삼성카드, 삼성생명 등 페이코와 협업하는 국내 수십곳으로 금융사에 경고 공문을 보냈다. 페이코 서명키가 유출됐고, 유출된 서명키를 활용한 악성 앱이 다수 발견된 만큼 주의가 필요하다는 게 골자다. 에버스핀 관계자는 "페이코 서명키를 활용한 악성 앱이 8월 손가락에 꼽는 수준이지만 11월에는 수가 급격히 넘었다"며 "위험성을 알리기 위해 공문을 발송했다"고 말했다.
Advertisement
그렇다고 페이코가 앱 서명키 유출 인지 이후 아무것도 하지 않은 것은 아니다.
Advertisement
문제는 페이코가 서명키 유출을 인지한 뒤 4개월 동안 페이코 서명키를 활용한 악성 앱이 기하급수적으로 늘어났다는 점이다. 에버스핀은 8월부터 11월 말까지 제작된 악성 앱의 수가 5000여개를 넘어선 것으로 파악하고 있다. 빠른 조치가 이뤄지지 않은 영향을 받았다. 그도 그럴 것이 페이코 유출된 페이코 서명키로 인증한 앱은 보안 검사를 피할 수 있다. 페이코가 만든 것으로 인식되기 때문이다. 보안 앱은 서명키가 같으면 추가 검사를 하지 않는 게 일반적이다. 악성 앱이 정상 앱으로 둔갑해 스미싱, 파밍, 보이스피싱 등 다양한 형태로 악용될 수 있다는 얘기다. 악성 앱의 종류에 따라 스마트폰에 저장된 모든 개인 정보가 빠져나가는 것이 가능하다.
Advertisement
페이코 서명키는 다른 앱 서명에서도 사용되는 보안 취약점도 발견됐다. 모회사인 NHN의 계열사에서 서비스 중인 '한게임 OTP' '운수도원 투데이' '티켓링크'를 비롯한 18개 앱에서 같은 서명키를 쓰고 있었다.
보안업계 한 관계자는 "당분간 페이코를 비롯해 NHN 일부 계열사 서비스 관련 내용의 프로그램 설치는 주의할 필요가 있다"며 "정식 앱스토어 외에 비정상적 경로를 통한 프로그램 설치는 하지 않는 것이 안전하다"고 말했다.
"악성 앱 무효화 방안 논의, 해결책 적용 계획"
페이코는 현재 서명키 유출과 관련해 접수된 피해사례는 없다고 밝혔다. 빠른 시일 내 대응책도 제시하겠다고 강조했다.
페이코는 "구글 서명키는 앱 개발사들이 플레이스토어를 통해 앱을 등록·배포할 때 특정 개발사 앱이라는 점을 증명하는 역할을 하는 도구로, 기존 페이코 고객의 개인정보와는 상관이 없고 현재 페이코 쪽으로 접수된 피해 사례가 확인된 바가 없다"고 전했다. 이어 "스토어를 통해 정상적으로 페이코 앱을 다운받는 경우에는 문제가 없다"며 "현재 기존 서명키로 제작된 악성 앱의 작동을 무효화할 수 있는 방안을 보안 협력업체와 논의, 이른 시일 내에 해결책을 마련해 적용할 계획"이라고 밝혔다.
김세형 기자 fax123@sportschosun.com